Invoke-Mimikatz (PowerSploit)

- 目次

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ
パスワード、ハッシュの入手
説明
メモリ上にMimikatzを読み込み、起動させる。
攻撃時における想定利用例
ユーザーのパスワードを取得し、不正ログインに使用する。

- ツール動作概要

項目 接続元 接続先
通信プロトコル 5985/tcp (HTTP), 5986/tcp (HTTPS)
権限 管理者ユーザー
ドメインへの所属 不要
サービス Windows Remote Management
OS Windows

- ログから得られる情報

標準設定
  • 接続元
    • 実行履歴 (Prefetch)
    • 実行されたスクリプト・コマンドの内容 (Windows 10のみ。「Microsoft-Windows-PowerShell/Operational」およびC:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txtに記録される)
追加設定
  • 接続元
    • 実行履歴 (監査ポリシー, Sysmon)
    • WinRMを用いた通信(5985/tcp)の記録 (監査ポリシー, Sysmon)
    • 実行されたスクリプト・コマンドの内容 (Windows 7にWindows Management Framework 5.0をインストールした場合。「Microsoft-Windows-PowerShell/Operational」およびC:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txtに記録される)
  • 接続先
    • WinRMを用いた通信(5985/tcp)の記録 (監査ポリシー, Sysmon)

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • CommandLine: 実行コマンドのコマンドライン ("C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe")
  • User: 実行ユーザー
2 Microsoft-Windows-PowerShell/Operational 4104 リモート コマンドを実行します Scriptblock テキストを作成しています
  • メッセージ: 実行されたスクリプトの内容。実行されたPowerShellスクリプトの内容が、そのまま記録される
3 Microsoft-Windows-WinRM/Operational 6 WSMan セッションの初期化 WSMan セッションを作成しています。接続文字列は [接続文字列] です
  • 接続文字列: ホスト名(接続元ホスト)
4 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号 (接続元)
  • DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号 (接続先 ポート5985)

MFT

# パス ヘッダフラグ 有効
1 [ドライブ名]:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt FILE ALLOCATED

Prefetch

UserAssist

# Registry Data
1 HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count\{1NP14R77-02R7-4R5Q-O744-2RO1NR5198O7}\JvaqbjfCbjreFuryy\i1.0\cbjrefuryy.rkr 初回実行日時、累計実行回数

USNジャーナル

# ファイル名 処理
1 ConsoleHost_history.txt CLOSE+DATA_EXTEND

- 接続先

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (System)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号 (接続先 ポート5985)
  • DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号 (接続元)
2 Microsoft-Windows-WinRM/Operational 81 要求の処理 操作 [操作] のクライアント要求を処理しています
  • 操作: 要求された処理 (CreateShell)
3 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\wbem\WmiPrvSE.exe)
  • CommandLine: 実行コマンドのコマンドライン (C:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding)
  • ParentImage: 親プロセスの実行ファイル (C:\Windows\System32\svchost.exe)
  • ParentCommandLine: 親プロセスのコマンドライン (C:\Windows\system32\svchost.exe -k DcomLaunch)

Prefetch

- 詳細:接続元

- イベントログ

# イベントログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • CommandLine: 実行コマンドのコマンドライン ("C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe")
  • CurrentDirectory: 作業ディレクトリ
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル
  • Hashes: 実行ファイルのハッシュ値 (High)
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル
  • ParentCommandLine: 親プロセスのコマンドライン
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 必須ラベル: 権限昇格の要否
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
  • ログの日時: プロセス実行日時 (ローカル時刻)
2 Microsoft-Windows-PowerShell/Operational 40961 PowerShell コンソールの起動 PowerShell コンソールを起動しています
Microsoft-Windows-PowerShell/Operational 53504 PowerShell 名前付きパイプ IPC Windows PowerShell は、[ドメイン] のプロセス [プロセスID] で IPC リッスン スレッドを開始しました。
Microsoft-Windows-PowerShell/Operational 40962 PowerShell コンソールの起動 PowerShell コンソールはユーザー入力を受け入れられるようになりました
3 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[文字列].temp)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData を含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[文字列].temp)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • TargetFilename: 作成されたファイル (C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[文字列].temp)
  • CreationUtcTime: ファイル作成日時 (UTC)
Microsoft-Windows-Sysmon/Operational 2 File creation time changed (rule: FileCreateTime) File creation time changed.
  • UtcTime: 変更が発生した日時 (UTC)
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • TargetFilename: 変更されたファイルの名前 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[文字列].temp)
  • CreationUtcTime: 変更後のタイムスタンプ (UTC)
  • PreviousCreationUtcTime: 変更前のタイムスタンプ (UTC)
4 セキュリティ 4670 ポリシー変更の承認 オブジェクトのアクセス許可が変更されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID
  • サブジェクト > アカウント名: 実行したアカウント名
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[文字列].temp)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス許可の変更 > 元のセキュリティ記述子: 変更前のセキュリティ記述子 (D:(A;;FA;;;SY)(A;;FA;;;BA)(A;;FA;;;[SID]))
  • アクセス許可の変更 > 新しいセキュリティ記述子: 変更後のセキュリティ記述子 (D:ARAI(A;;FA;;;SY)(A;;FA;;;BA)(A;;FA;;;[SID])(A;ID;FA;;;SY)(A;ID;FA;;;BA)(A;ID;FA;;;[SID]))
  • 成功の監査: 成否 (変更成功)
5 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[文字列].customDestinations-ms)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData を含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[文字列].customDestinations-ms)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
6 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[文字列].customDestinations-ms~[文字列].TMP)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFileを含む)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
7 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (SYNCHRONIZE, WriteDataまたはAddFile を含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (SYNCHRONIZE, WriteDataまたはAddFile)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
8 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[英数].customDestinations-ms~[英数].TMP)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETEを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[英数].customDestinations-ms~[英数].TMP)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETE)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4660 ファイル システム オブジェクトが削除されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクト名: 対象のファイル名
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
9 Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\Explorer.EXE)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{[GUID]}\Count\{[GUID]}\JvaqbjfCbjreFuryy\i1.0\cbjrefuryy.rkr)
  • Details: レジストリに書き込まれた設定値 (Binary Data)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:Windows\Explorer.EXE)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\JumplistData\{[GUID]}\WindowsPowerShell\v1.0\powershell.exe)
  • Details: レジストリに書き込まれた設定値 (QWORD)
Microsoft-Windows-Sysmon/Operational 10 Process accessed (rule: ProcessAccess) Process accessed.
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
  • SourceImage: アクセス元プロセスのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
  • TargetImage: アクセス先プロセスのパス (C:\Windows\Explorer.EXE)
  • GrantedAccess: 許可されたアクセスの内容
10 セキュリティ 4703 Token Right Adjusted Events A token right was adjusted.
  • Subject > Security ID/Account Name/Account Domain: 実行したユーザーSID/アカウント名/ドメイン
  • Subject > Logon ID: プロセスを実行したユーザーのセッションID
  • Target Account > Security ID/Account Name/Account Domain: 対象のユーザーSID/アカウント名/ドメイン
  • Target Account > Logon ID: 対象ユーザーのセッションID
  • Process Information > Process ID: 実行したプロセスID
  • Process Information > Process Name: 実行したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • Enabled Privileges: 有効化された権限 (SeDebugPrivilege)
  • Disabled Privileges: 無効化された権限
セキュリティ 4673 重要な特権の使用 特権のあるサービスが呼び出されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス > プロセス名: 特権を使用したプロセス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • プロセス > プロセスID: 特権を使用したプロセスのプロセスID
  • サービス要求情報 > 特権: 使用された特権 (SeCreateGlobalPrivilege)
11 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\Administrator\AppData\Local\Temp\[文字列].ps1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile を含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\Administrator\AppData\Local\Temp\[文字列].ps1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
12 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\Administrator\AppData\Local\Temp\[文字列].psm1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile を含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\Administrator\AppData\Local\Temp\[文字列].psm1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile)
  • 成功の監査: 成否 (アクセス成功)
13 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\Administrator\AppData\Local\Temp\[文字列].ps1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETE を含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\Administrator\AppData\Local\Temp\[文字列].ps1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETE)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4660 ファイル システム オブジェクトが削除されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクト名: 対象のファイル名
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
14 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\Administrator\AppData\Local\Temp\[文字列].psm1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETE)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\Administrator\AppData\Local\Temp\[文字列].psm1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETE)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4660 ファイル システム オブジェクトが削除されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクト名: 対象のファイル名
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
15 Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:Windows\Explorer.EXE)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[SID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{[GUID]}\Count\{[GUID]}\JvaqbjfCbjreFuryy\i1.0\cbjrefuryy.rkr)
  • Details: レジストリに書き込まれた設定値 (Binary Data)
16 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\POWERSHELL.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFileを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\POWERSHELL.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。 (オブジェクトに対するハンドルが閉じました。)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)
17 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。 (オブジェクトに対するハンドルが要求されました。)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile を含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
18 Microsoft-Windows-PowerShell/Operational 4104 リモート コマンドを実行します Scriptblock テキストを作成しています
  • メッセージ: 実行されたスクリプトの内容。実行されたPowerShellスクリプトの内容が、そのまま記録される
19 Microsoft-Windows-Sysmon/Operational 2 File creation time changed (rule: FileCreateTime) File creation time changed.
  • UtcTime: 変更が発生した日時 (UTC)
  • Image: 実行ファイルのパス
  • TargetFilename: 変更されたファイルの名前
  • CreationUtcTime: 変更後のタイムスタンプ (UTC)
  • PreviousCreationUtcTime: 変更前のタイムスタンプ (UTC)
Microsoft-Windows-WinRM/Operational 29 WSMan API の初期化 WSMan API の初期化が正常に完了しました
Microsoft-Windows-WinRM/Operational 6 WSMan セッションの初期化 WSMan セッションを作成しています。接続文字列は [接続文字列] です
  • 接続文字列: ホスト名(接続元ホスト)
Microsoft-Windows-WinRM/Operational 31 WSMan セッションの初期化 WSMan セッションの作成操作が正常に完了しました
Microsoft-Windows-WinRM/Operational 10 WSMan API 呼び出し WSMan セッションのオプション ([オプション番号]) に値 ([値]) を正常に設定しました
  • オプション番号: 設定対象としたオプションの番号 (34)
  • : 設定された値 (WSMAN_OPTION_USE_INTEARACTIVE_TOKEN)
Microsoft-Windows-WinRM/Operational 10 WSMan API 呼び出し WSMan セッションのオプション ([オプション番号]) に値 ([値]) を正常に設定しました
  • オプション番号: 設定対象としたオプションの番号 (26)
  • : 設定された値 (WSMAN_OPTION_UI_LANGUAGE)
Microsoft-Windows-WinRM/Operational 10 WSMan API 呼び出し WSMan セッションのオプション ([オプション番号]) に値 ([値]) を正常に設定しました
  • オプション番号: 設定対象としたオプションの番号 (25)
  • : 設定された値 (WSMAN_OPTION_LOCALE)
Microsoft-Windows-WinRM/Operational 10 WSMan API 呼び出し WSMan セッションのオプション ([オプション番号]) に値 ([値]) を正常に設定しました
  • オプション番号: 設定対象としたオプションの番号 (1)
  • : 設定された値 (WSMAN_OPTION_DEFAULT_OPERATION_TIMEOUTMS)
Microsoft-Windows-WinRM/Operational 10 WSMan API 呼び出し WSMan セッションのオプション ([オプション番号]) に値 ([値]) を正常に設定しました
  • オプション番号: 設定対象としたオプションの番号 (12)
  • : 設定された値 (WSMAN_OPTION_TIMEOUTMS_CREATE_SHELL)
Microsoft-Windows-WinRM/Operational 10 WSMan API 呼び出し WSMan セッションのオプション ([オプション番号]) に値 ([値]) を正常に設定しました
  • オプション番号: 設定対象としたオプションの番号 (17)
  • : 設定された値 (WSMAN_OPTION_TIMEOUTMS_CLOSE_SHELL)
Microsoft-Windows-WinRM/Operational 10 WSMan API 呼び出し WSMan セッションのオプション ([オプション番号]) に値 ([値]) を正常に設定しました
  • オプション番号: 設定対象としたオプションの番号 (16)
  • : 設定された値 (WSMAN_OPTION_TIMEOUTMS_SIGNAL_SHELL)
Microsoft-Windows-WinRM/Operational 11 WSMan API 呼び出し WSMan シェルをリソース URI http://schemas.microsoft.com/wbem/wsman/1/windows/shell/cmd および ShellId Unspecified で作成しています
Microsoft-Windows-WinRM/Operational 10 WSMan API 呼び出し WSMan セッションのオプション ([オプション番号]) に値 ([値]) を正常に設定しました
  • オプション番号: 設定対象としたオプションの番号 (28)
  • : 設定された値 (WSMAN_OPTION_MAX_ENVELOPE_SIZE_KB)
Microsoft-Windows-WinRM/Operational 13 WSMan API 呼び出し CommandId Unspecified の WSMan コマンドを実行しています
Microsoft-Windows-PowerShell/Operational 8193 接続 Runspace オブジェクトを作成しています
  • インスタンスID: オブジェクトのインスタンスID
Microsoft-Windows-PowerShell/Operational 8194 接続 RunspacePool オブジェクトを作成しています
  • インスタンスID: オブジェクトのインスタンスID
Microsoft-Windows-PowerShell/Operational 8195 接続 RunspacePool を開いています
Microsoft-Windows-PowerShell/Operational 8197 接続 実行空間の状態が [状態] に変更されました
  • 状態: 実行空間の状態 (Opening)
Microsoft-Windows-PowerShell/Operational 8196 PowerShell (Microsoft-Windows-PowerShell) 活動IDを変更し、関連付けています
Microsoft-Windows-PowerShell/Operational 12039 PowerShell (Microsoft-Windows-PowerShell) 活動IDを変更し、関連付けています
Microsoft-Windows-PowerShell/Operational 8196 PowerShell (Microsoft-Windows-PowerShell) 活動IDを変更し、関連付けています
Microsoft-Windows-PowerShell/Operational 12039 PowerShell (Microsoft-Windows-PowerShell) 活動IDを変更し、関連付けています
Microsoft-Windows-PowerShell/Operational 8196 PowerShell (Microsoft-Windows-PowerShell) 活動IDを変更し、関連付けています
Microsoft-Windows-PowerShell/Operational 12039 PowerShell (Microsoft-Windows-PowerShell) 活動IDを変更し、関連付けています
Microsoft-Windows-PowerShell/Operational 8197 接続 実行空間の状態が [状態] に変更されました
  • 状態: 実行空間の状態 (Opened)
20 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile を含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
21 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (88)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
22 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (88)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
23 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (88)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
24 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (接続先IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続先ホスト名)
  • DestinationPort: 宛先ポート番号 (5985)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (5985)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
25 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (接続先IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続先ホスト名)
  • DestinationPort: 宛先ポート番号 (5985)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (5985)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
26 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (接続先IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続先ホスト名)
  • DestinationPort: 宛先ポート番号 (5985)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (5985)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
27 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (接続先IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続先ホスト名)
  • DestinationPort: 宛先ポート番号 (5985)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (5985)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
28 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters)
29 Microsoft-Windows-WinRM/Operational 15 WSMan API 呼び出し WSMan コマンドを閉じています
Microsoft-Windows-WinRM/Operational 16 WSMan API 呼び出し WSMan シェルを閉じています
Microsoft-Windows-WinRM/Operational 8 WSMan セッションの初期化解除 WSMan セッションを閉じています。
Microsoft-Windows-WinRM/Operational 4 WSMan APIの初期化解除 WSMan API を初期化解除しています
Microsoft-Windows-WinRM/Operational 30 WSMan API の初期化解除 WSMan API の初期化解除が正常に完了しました
Microsoft-Windows-WinRM/Operational 33 WSMan セッションの初期化 WSMan セッションを閉じる操作が正常に完了しました
Microsoft-Windows-PowerShell/Operational 8196 PowerShell (Microsoft-Windows-PowerShell) 活動IDを変更し、関連付けています
Microsoft-Windows-PowerShell/Operational 12039 PowerShell (Microsoft-Windows-PowerShell) 活動IDを変更し、関連付けています
Microsoft-Windows-PowerShell/Operational 8197 接続 実行空間の状態が [状態] に変更されました
Microsoft-Windows-PowerShell/Operational 8197 接続 実行空間の状態が [状態] に変更されました
30 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-Interactive)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFileを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-Interactive)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFileを含む)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
31 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > セキュリティID: 実行したユーザーSID
  • サブジェクト > アカウント名: 実行したアカウント名
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0xc000013a)

- MFT

# パス ヘッダフラグ 有効
1 [ドライブ名]:\Windows\Prefetch\POWERSHELL.EXE-[文字列].pf FILE ALLOCATED
2 [ドライブ名]:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations FOLDER ALLOCATED
3 [ドライブ名]:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[ランダム文字列].customDestinations-ms FILE ALLOCATED
4 [ドライブ名]:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt FILE ALLOCATED

- Prefetch

# Prefetchファイル プロセス名 プロセスパス ログから得られる情報
1 POWERSHELL.EXE-[文字列].pf POWERSHELL.EXE \VOLUME{[GUID]}\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE Last Run Time (最終実行日時)

- レジストリエントリ

# パス 種類
1 HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count\{1NP14R77-02R7-4R5Q-O744-2RO1NR5198O7}\JvaqbjfCbjreFuryy\i1.0\cbjrefuryy.rkr Binary [バイナリ値]
2 HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\JumplistData\{1AC14E77-02E7-4E5D-B744-2EB1AE5198B7}\WindowsPowerShell\v1.0\powershell.exe Binary [バイナリ値]

- UserAssist

# レジストリエントリ ログから得られる情報
1 HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count\{1NP14R77-02R7-4R5Q-O744-2RO1NR5198O7}\JvaqbjfCbjreFuryy\i1.0\cbjrefuryy.rkr 初回実行日時、累計実行回数

- USNジャーナル

# ファイル名 処理 属性
1 POWERSHELL.EXE-[文字列].pf FILE_CREATE archive
POWERSHELL.EXE-[文字列].pf FILE_CREATE+SECURITY_CHANGE archive
POWERSHELL.EXE-[文字列].pf DATA_EXTEND+FILE_CREATE+SECURITY_CHANGE archive
POWERSHELL.EXE-[文字列].pf DATA_EXTEND+DATA_OVERWRITE+FILE_CREATE+SECURITY_CHANGE archive
POWERSHELL.EXE-[文字列].pf BASIC_INFO_CHANGE+DATA_EXTEND+DATA_OVERWRITE+FILE_CREATE+SECURITY_CHANGE archive
POWERSHELL.EXE-[文字列].pf BASIC_INFO_CHANGE+CLOSE+DATA_EXTEND+DATA_OVERWRITE+FILE_CREATE+SECURITY_CHANGE archive
2 POWERSHELL.EXE-[文字列].pf DATA_TRUNCATION archive
POWERSHELL.EXE-[文字列].pf DATA_EXTEND+DATA_TRUNCATION archive
POWERSHELL.EXE-[文字列].pf CLOSE+DATA_EXTEND+DATA_TRUNCATION archive
3 CustomDestinations FILE_CREATE directory
CustomDestinations CLOSE+FILE_CREATE directory
4 [ランダム文字列].customDestinations-ms FILE_CREATE archive
[ランダム文字列].customDestinations-ms FILE_CREATE+SECURITY_CHANGE archive
[ランダム文字列].customDestinations-ms DATA_EXTEND+FILE_CREATE+SECURITY_CHANGE archive
[ランダム文字列].customDestinations-ms DATA_EXTEND+DATA_OVERWRITE+FILE_CREATE+SECURITY_CHANGE archive
[ランダム文字列].customDestinations-ms BASIC_INFO_CHANGE+DATA_EXTEND+DATA_OVERWRITE+FILE_CREATE+SECURITY_CHANGE archive
[ランダム文字列].customDestinations-ms BASIC_INFO_CHANGE+CLOSE+DATA_EXTEND+DATA_OVERWRITE+FILE_CREATE+SECURITY_CHANGE archive
5 [ランダム文字列].customDestinations-ms~RF[ランダム文字列].TMP FILE_CREATE hidden+archive+temporary
[ランダム文字列].customDestinations-ms~RF[ランダム文字列].TMP CLOSE+FILE_CREATE hidden+archive+temporary
[ランダム文字列].customDestinations-ms~RF[ランダム文字列].TMP CLOSE+FILE_DELETE hidden+archive+temporary
6 [ランダム文字列].ps1 FILE_CREATE archive
[ランダム文字列].ps1 DATA_EXTEND+FILE_CREATE archive
[ランダム文字列].ps1 CLOSE+DATA_EXTEND+FILE_CREATE archive
[ランダム文字列].ps1 CLOSE+FILE_DELETE archive
7 [ランダム文字列].psm1 FILE_CREATE archive
[ランダム文字列].psm1 DATA_EXTEND+FILE_CREATE archive
[ランダム文字列].psm1 CLOSE+DATA_EXTEND+FILE_CREATE archive
[ランダム文字列].psm1 CLOSE+FILE_DELETE archive
8 ConsoleHost_history.txt DATA_EXTEND archive
ConsoleHost_history.txt CLOSE+DATA_EXTEND archive

- 詳細:接続先

- イベントログ

# イベントログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-WinRM/Operational 169 ユーザーの認証 ユーザー [ユーザー名] は [認証方式] 認証を使用して正常に認証されました
  • ユーザー名: 使用されたユーザー名
  • 認証方式: 使用された認証方式 (Kerberos)
セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオンの種類: ログオンの経路・方式など (3=ネットワーク)
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス
  • ネットワーク情報 > ソース ポート: 接続元ポート番号
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (Kerberos)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Kerberos)
  • 詳細な認証情報 > パッケージ名 (NTLMのみ): NTLMのバージョン
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (0)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (Unknown)
  • オブジェクト > オブジェクト名: 対象のファイル名
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
2 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (System)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト名)
  • SourcePort: 送信元ポート番号 (5985)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (5985)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (実接続行元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
セキュリティ 4672 特殊なログオン 新しいログオンに特権が割り当てられました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • 特権: 割り当てられた特権 (SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege)
3 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected. (Network connection detected)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (System)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (88)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
4 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected. (Network connection detected)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (System)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (88)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
5 セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\wsmprovhost.exe)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 必須ラベル: 権限昇格の要否
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
  • ログの日時: プロセス実行日時 (ローカル時刻)
6 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (System)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト名)
  • SourcePort: 送信元ポート番号 (5985)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (5985)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
7 セキュリティ 4672 特殊なログオン 新しいログオンに特権が割り当てられました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • 特権: 割り当てられた特権 (SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege)
セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオンの種類: ログオンの経路・方式など
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス
  • ネットワーク情報 > ソース ポート: 接続元ポート番号
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (Kerberos)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Kerberos)
  • 詳細な認証情報 > パッケージ名 (NTLMのみ): NTLMのバージョン
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (0)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (Unknown)
  • オブジェクト > オブジェクト名: 対象のファイル名
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
8 Microsoft-Windows-WinRM/Operational 192 ユーザーの承認 ユーザーを承認しています
  • エラー: エラーコード
Microsoft-Windows-WinRM/Operational 193 ユーザーの承認 ユーザーに対する要求は、WinRM仮想アカウントを使用して実行されます
  • ユーザー情報: ユーザーの情報
  • 仮想アカウント: 使用されるWinRM仮想アカウント
Microsoft-Windows-WinRM/Operational 192 ユーザーの承認 ユーザーを承認しています
  • エラー: エラーコード
Microsoft-Windows-WinRM/Operational 81 要求の処理 操作 [操作] のクライアント要求を処理しています
  • 操作: 要求された処理 (CreateShell)
Microsoft-Windows-WinRM/Operational 82 要求の処理 操作 [操作] を実行するためのプラグインに入ります。ResourceURI <[URL]> を使用します
  • 操作: 要求された処理 (Shell)
  • URL: リソースのURL (http://schemas.microsoft.com/powershell/Microsoft.PowerShell)
Microsoft-Windows-WinRM/Operational 134 応答の処理 操作 [操作] の応答を送信しています
  • 操作: 実施した処理 (CreateShell)
9 Microsoft-Windows-WinRM/Operational 169 ユーザーの認証 ユーザー [ユーザー名] は [認証方式] 認証を使用して正常に認証されました
  • ユーザー名: 使用されたユーザー名
  • 認証方式: 使用された認証方式 (Kerberos)
Microsoft-Windows-WinRM/Operational 192 ユーザーの承認 ユーザーを承認しています
  • エラー: エラーコード
Microsoft-Windows-WinRM/Operational 193 ユーザーの承認 ユーザーに対する要求は、WinRM仮想アカウントを使用して実行されます
  • ユーザー情報: ユーザーの情報
  • 仮想アカウント: 使用されるWinRM仮想アカウント
Microsoft-Windows-WinRM/Operational 192 ユーザーの承認 ユーザーを承認しています
  • エラー: エラーコード
Microsoft-Windows-WinRM/Operational 81 要求の処理 操作 [操作] のクライアント要求を処理しています
  • 操作: 要求された処理 (Receive)
Microsoft-Windows-WinRM/Operational 82 要求の処理 操作 [操作] を実行するためのプラグインに入ります。ResourceURI <[URL]> を使用します
  • 操作: 要求された処理 (Receive)
  • URL: リソースのURL (http://schemas.microsoft.com/powershell/Microsoft.PowerShell)
Microsoft-Windows-WinRM/Operational 83 要求の処理 操作 [操作] を実行するためのプラグインから出ます
  • 操作: 要求された処理 (Receive)
Microsoft-Windows-WinRM/Operational 134 応答の処理 操作 [操作] の応答を送信しています
  • 操作: 実施した処理 (Receive)
Microsoft-Windows-WinRM/Operational 83 要求の処理 操作 [操作] を実行するためのプラグインから出ます
  • 操作: 要求された処理 (Shell)
Microsoft-Windows-WinRM/Operational 192 ユーザーの承認 ユーザーを承認しています
  • エラー: エラーコード
Microsoft-Windows-WinRM/Operational 81 要求の処理 操作 [操作] のクライアント要求を処理しています
  • 操作: 要求された処理 (Receive)
Microsoft-Windows-WinRM/Operational 82 要求の処理 操作 [操作] を実行するためのプラグインに入ります。ResourceURI <[URL]> を使用します
  • 操作: 要求された処理 (Receive)
  • URL: リソースのURL (http://schemas.microsoft.com/powershell/Microsoft.PowerShell)
Microsoft-Windows-WinRM/Operational 83 要求の処理 操作 [操作] を実行するためのプラグインから出ます
  • 操作: 要求された処理 (Receive)
Microsoft-Windows-WinRM/Operational 134 応答の処理 操作 [操作] の応答を送信しています
  • 操作: 実施した処理 (Receive)
Microsoft-Windows-WinRM/Operational 192 ユーザーの承認 ユーザーを承認しています
  • エラー: エラーコード
Microsoft-Windows-WinRM/Operational 81 要求の処理 操作 [操作] のクライアント要求を処理しています
  • 操作: 要求された処理 (Receive)
Microsoft-Windows-WinRM/Operational 82 要求の処理 操作 [操作] を実行するためのプラグインに入ります。ResourceURI <[URL]> を使用します
  • 操作: 要求された処理 (Receive)
  • URL: リソースのURL (http://schemas.microsoft.com/powershell/Microsoft.PowerShell)
Microsoft-Windows-WinRM/Operational 83 要求の処理 操作 [操作] を実行するためのプラグインから出ます
  • 操作: 要求された処理 (Receive)
Microsoft-Windows-WinRM/Operational 192 ユーザーの承認 ユーザーを承認しています
  • エラー: エラーコード
10 セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (5985)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
11 セキュリティ 4672 特殊なログオン 新しいログオンに特権が割り当てられました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • 特権: 割り当てられた特権 (SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege)
セキュリティ 4624 ログオン アカウントが正常にログオンしました。 (アカウントが正常にログオンしました。)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオンの種類: ログオンの経路・方式など
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス
  • ネットワーク情報 > ソース ポート: 接続元ポート番号
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (Kerberos)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Kerberos)
  • 詳細な認証情報 > パッケージ名 (NTLMのみ): NTLMのバージョン
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (0)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (Unknown)
  • オブジェクト > オブジェクト名: 対象のファイル名
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
12 セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (5985)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
13 セキュリティ 4624 ログオン アカウントが正常にログオンしました。 (アカウントが正常にログオンしました。)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオンの種類: ログオンの経路・方式など (3=ネットワーク)
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス
  • ネットワーク情報 > ソース ポート: 接続元ポート番号
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (Kerberos)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Kerberos)
  • 詳細な認証情報 > パッケージ名 (NTLMのみ): NTLMのバージョン
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (0)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (Unknown)
  • オブジェクト > オブジェクト名: 対象のファイル名
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
14 Microsoft-Windows-WinRM/Operational 81 要求の処理 操作 [操作] のクライアント要求を処理しています
  • 操作: 要求された処理 (Command)
Microsoft-Windows-WinRM/Operational 82 要求の処理 操作 [操作] を実行するためのプラグインに入ります。ResourceURI <[URL]> を使用します
  • 操作: 要求された処理 (Command)
  • URL: リソースのURL (http://schemas.microsoft.com/powershell/Microsoft.PowerShell)
Microsoft-Windows-WinRM/Operational 83 要求の処理 操作 [操作] を実行するためのプラグインから出ます
  • 操作: 要求された処理 (Command)
Microsoft-Windows-WinRM/Operational 134 応答の処理 操作 [操作] の応答を送信しています
  • 操作: 実施した処理 (Command)
Microsoft-Windows-WinRM/Operational 169 ユーザーの認証 ユーザー [ユーザー名] は [認証方式] 認証を使用して正常に認証されました
  • ユーザー名: 使用されたユーザー名
  • 認証方式: 使用された認証方式 (kerberos)
Microsoft-Windows-WinRM/Operational 192 ユーザーの承認 ユーザーを承認しています
  • エラー: エラーコード
Microsoft-Windows-WinRM/Operational 193 ユーザーの承認 ユーザーに対する要求は、WinRM仮想アカウントを使用して実行されます
  • ユーザー情報: ユーザーの情報
  • 仮想アカウント: 使用されるWinRM仮想アカウント
Microsoft-Windows-WinRM/Operational 192 ユーザーの承認 ユーザーを承認しています
  • エラー: エラーコード
Microsoft-Windows-WinRM/Operational 81 要求の処理 操作 [操作] のクライアント要求を処理しています
  • 操作: 要求された処理 (Send)
Microsoft-Windows-WinRM/Operational 82 要求の処理 操作 [操作] を実行するためのプラグインに入ります。ResourceURI <[URL]> を使用します
  • 操作: 要求された処理 (Send)
  • URL: リソースのURL (http://schemas.microsoft.com/powershell/Microsoft.PowerShell)
Microsoft-Windows-WinRM/Operational 83 要求の処理 操作 [操作] を実行するためのプラグインから出ます
  • 操作: 要求された処理 (Send)
Microsoft-Windows-WinRM/Operational 134 応答の処理 操作 [操作] の応答を送信しています
  • 操作: 実施した処理 (Send)
Microsoft-Windows-WinRM/Operational 169 ユーザーの認証 ユーザー [ユーザー名] は [認証方式] 認証を使用して正常に認証されました
  • ユーザー名: 使用されたユーザー名
  • 認証方式: 使用された認証方式 (Kerberos)
Microsoft-Windows-WinRM/Operational 192 ユーザーの承認 ユーザーを承認しています
  • エラー: エラーコード
Microsoft-Windows-WinRM/Operational 193 ユーザーの承認 ユーザーに対する要求は、WinRM仮想アカウントを使用して実行されます
  • ユーザー情報: ユーザーの情報
  • 仮想アカウント: 使用されるWinRM仮想アカウント
Microsoft-Windows-WinRM/Operational 192 ユーザーの承認 ユーザーを承認しています
  • エラー: エラーコード
Microsoft-Windows-WinRM/Operational 81 要求の処理 操作 [操作] のクライアント要求を処理しています
  • 操作: 要求された処理 (Receive)
Microsoft-Windows-WinRM/Operational 82 要求の処理 操作 [操作] を実行するためのプラグインに入ります。ResourceURI <[URL]> を使用します
  • 操作: 要求された処理 (Receive)
  • URL: リソースのURL (http://schemas.microsoft.com/powershell/Microsoft.PowerShell)
Microsoft-Windows-WinRM/Operational 83 要求の処理 操作 [操作] を実行するためのプラグインから出ます
  • 操作: 要求された処理 (Receive)
Microsoft-Windows-WinRM/Operational 134 応答の処理 操作 [操作] の応答を送信しています
  • 操作: 実施した処理 (Send)
15 セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオンの種類: ログオンの経路・方式など (5)
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス
  • ネットワーク情報 > ソース ポート: 接続元ポート番号
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (Advapi)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Negotiate)
  • 詳細な認証情報 > パッケージ名 (NTLMのみ): NTLMのバージョン
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (0)
セキュリティ 4672 特殊なログオン 新しいログオンに特権が割り当てられました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • 特権: 割り当てられた特権 (SeAssignPrimaryTokenPrivilege, SeAuditPrivilege, SeImpersonatePrivilege)
16 セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\wbem\WmiPrvSE.exe)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 必須ラベル: 権限昇格の要否
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
  • ログの日時: プロセス実行日時 (ローカル時刻)
セキュリティ 4674 重要な特権の使用 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクト サーバー: 処理を実行したサービス
  • オブジェクト > オブジェクトの種類: 処理対象オブジェクトの種類 (Mutant)
  • オブジェクト > オブジェクト名: 処理対象オブジェクトの名前 (\BaseNamedObjects\LOADPERF_MUTEX)
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\wbem\WmiPrvSE.exe)
  • 要求された操作 > 特権: 要求された権限 (SeTakeOwnershipPrivilege)
セキュリティ 4674 重要な特権の使用 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクト サーバー: 処理を実行したサービス
  • オブジェクト > オブジェクトの種類: 処理対象オブジェクトの種類
  • オブジェクト > オブジェクト名: 処理対象オブジェクトの名前
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\wbem\WmiPrvSE.exe)
  • 要求された操作 > 特権: 要求された権限 (SeTakeOwnershipPrivilege)
17 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (System)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト名)
  • SourcePort: 送信元ポート番号 (5985)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
18 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\system32\wsmprovhost.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\Tcpip\Parameters)
19 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\wbem\WmiPrvSE.exe)
  • CommandLine: 実行コマンドのコマンドライン (C:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding)
  • CurrentDirectory: 作業ディレクトリ (C:\Windows\system32\)
  • User: 実行ユーザー (NT AUTHORITY\NETWORK SERVICE)
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (System)
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル (C:\Windows\System32\svchost.exe)
  • ParentCommandLine: 親プロセスのコマンドライン (C:\Windows\system32\svchost.exe -k DcomLaunch)
20 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\system32\wsmprovhost.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SOFTWARE\Microsoft\WBEM)
21 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (System)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト名)
  • SourcePort: 送信元ポート番号 (5985)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
22 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\WSMPROVHOST.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\WSMPROVHOST.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4673 重要な特権の使用 特権のあるサービスが呼び出されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス > プロセス名: 特権を使用したプロセス (C:\Windows\System32\wsmprovhost.exe)
  • プロセス > プロセスID: 特権を使用したプロセスのプロセスID
  • サービス要求情報 > 特権: 使用された特権 (SeTcbPrivilege)
セキュリティ 4673 重要な特権の使用 特権のあるサービスが呼び出されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス > プロセス名: 特権を使用したプロセス (C:\Windows\System32\wsmprovhost.exe)
  • プロセス > プロセスID: 特権を使用したプロセスのプロセスID
  • サービス要求情報 > 特権: 使用された特権 (SeTcbPrivilege)
23 セキュリティ 4634 ログオフ アカウントがログオフしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオン タイプ: ログオンの経路・方式など (3=ネットワーク)
セキュリティ 4634 ログオフ アカウントがログオフしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオン タイプ: ログオンの経路・方式など (3=ネットワーク)
セキュリティ 4634 ログオフ アカウントがログオフしました。 (アカウントがログオフしました。)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオン タイプ: ログオンの経路・方式など (3=ネットワーク)
24 Microsoft-Windows-WinRM/Operational 83 要求の処理 操作 [操作] を実行するためのプラグインから出ます
  • 操作: 要求された処理 (Send)
Microsoft-Windows-WinRM/Operational 134 応答の処理 操作 [操作] の応答を送信しています
  • 操作: 実施した処理 (Receive)
Microsoft-Windows-WinRM/Operational 192 ユーザーの承認 ユーザーを承認しています
  • エラー: エラーコード
Microsoft-Windows-WinRM/Operational 81 要求の処理 操作 [操作] のクライアント要求を処理しています
  • 操作: 要求された処理 (Signal)
Microsoft-Windows-WinRM/Operational 82 要求の処理 操作 [操作] を実行するためのプラグインに入ります。ResourceURI <[URL]> を使用します (操作 Signal を実行するためのプラグインに入ります。ResourceURI を使用します)
  • 操作: 要求された処理 (Signal)
  • URL: リソースのURL (http://schemas.microsoft.com/powershell/Microsoft.PowerShell)
Microsoft-Windows-WinRM/Operational 134 応答の処理 操作 [操作] の応答を送信しています
  • 操作: 実施した処理 (Signal)
Microsoft-Windows-WinRM/Operational 83 要求の処理 操作 [操作] を実行するためのプラグインから出ます
  • 操作: 要求された処理 (Signal)
Microsoft-Windows-WinRM/Operational 192 ユーザーの承認 ユーザーを承認しています
  • エラー: エラーコード
Microsoft-Windows-WinRM/Operational 81 要求の処理 操作 [操作] のクライアント要求を処理しています
  • 操作: 要求された処理 (DeleteShell)
Microsoft-Windows-WinRM/Operational 82 要求の処理 操作 [操作] を実行するためのプラグインに入ります。ResourceURI <[URL]> を使用します
  • 操作: 要求された処理 (DeleteShell)
  • URL: リソースのURL (http://schemas.microsoft.com/powershell/Microsoft.PowerShell)
Microsoft-Windows-WinRM/Operational 141 応答の処理 操作のタイムアウト応答を送信しています: [操作]
  • 操作: 実施した処理 (Receive)
Microsoft-Windows-WinRM/Operational 83 要求の処理 操作 [操作] を実行するためのプラグインから出ます
  • 操作: 要求された処理 (DeleteShell)
Microsoft-Windows-WinRM/Operational 134 応答の処理 操作 [操作] の応答を送信しています
  • 操作: 実施した処理 (Receive)
Microsoft-Windows-WinRM/Operational 134 応答の処理 操作 [操作] の応答を送信しています
  • 操作: 実施した処理 (DeleteShell)
25 セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\wsmprovhost.exe)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)
Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\wsmprovhost.exe)
26 セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\wbem\WmiPrvSE.exe)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)
Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\wbem\WmiPrvSE.exe)

- MFT

# パス ヘッダフラグ 有効
1 [ドライブ名]:\Windows\Prefetch\WSMPROVHOST.EXE-[文字列].pf FILE ALLOCATED

- Prefetch

# Prefetchファイル プロセス名 プロセスパス ログから得られる情報
1 WSMPROVHOST.EXE-[文字列].pf WSMPROVHOST.EXE C:\WINDOWS\SYSTEM32\WSMPROVHOST.EXE Last Run Time (最終実行日時)

- USNジャーナル

# ファイル名 処理 属性
1 WSMPROVHOST.EXE-[文字列].pf FILE_CREATE archive+not_indexed

- 詳細:ドメインコントローラー

- イベントログ

# イベントログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (88)
  • DestinationIp: 宛先IPアドレス (接続先IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続先ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (88)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
2 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (88)
  • DestinationIp: 宛先IPアドレス (接続先IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続先ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (88)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
3 セキュリティ 4768 Kerberos 認証サービス Kerberos 認証チケット (TGT) が要求されました。
  • アカウント情報 > アカウント名: チケットを要求されたアカウント名
  • アカウント情報 > 提供された領域名: アカウントのドメイン
  • アカウント情報 > ユーザーID: アカウントのSID
  • ネットワーク情報 > クライアント アドレス: チケットの要求元IPアドレス (接続先ホストIPアドレス)
  • ネットワーク情報 > クライアント ポート: チケット要求の送信元ポート番号(ハイポート)
  • 追加情報 > チケット オプション: チケットの設定内容 (0x40810010)
  • 追加情報 > 結果コード: チケットの処理結果 (0x0)
4 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (88)
  • DestinationIp: 宛先IPアドレス (接続先IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続先ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (88)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
5 セキュリティ 4769 Kerberos サービス チケットの操作 Kerberos サービス チケットが要求されました。
  • アカウント情報 > アカウント名: チケットを要求されたアカウント名
  • アカウント情報 > アカウント ドメイン: アカウントのドメイン
  • アカウント情報 > ログオンGUID: ログオンのセッションID
  • サービス情報 > サービス名: チケットのサービス名
  • サービス情報 > サービスID: サービスのSID
  • ネットワーク情報 > クライアント アドレス: チケットの要求元IPアドレス (接続先ホスト)
  • ネットワーク情報 > クライアント ポート: チケット要求の送信元ポート番号 (ハイポート)
  • 追加情報 > チケット オプション: チケットの設定内容 (0x40810010)
  • 追加情報 > エラー コード: チケットの処理結果 (0x0)
6 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (88)
  • DestinationIp: 宛先IPアドレス (接続先IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続先ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (88)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
7 セキュリティ 4769 Kerberos サービス チケットの操作 Kerberos サービス チケットが要求されました。
  • アカウント情報 > アカウント名: チケットを要求されたアカウント名
  • アカウント情報 > アカウント ドメイン: アカウントのドメイン
  • アカウント情報 > ログオンGUID: ログオンのセッションID
  • サービス情報 > サービス名: チケットのサービス名
  • サービス情報 > サービスID: サービスのSID
  • ネットワーク情報 > クライアント アドレス: チケットの要求元IPアドレス (接続先ホスト)
  • ネットワーク情報 > クライアント ポート: チケット要求の送信元ポート番号 (ハイポート)
  • 追加情報 > チケット オプション: チケットの設定内容 (0x40810010)
  • 追加情報 > エラー コード: チケットの処理結果 (0x0)
8 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (88)
  • DestinationIp: 宛先IPアドレス (接続先IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続先ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (88)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)